第1页 / 共28页
第2页 / 共28页
第3页 / 共28页
第4页 / 共28页
第5页 / 共28页
第6页 / 共28页
第7页 / 共28页
第8页 / 共28页
IT主流设备安全基线技术规范.docx
1范围
2规范性引用文件
3术语和定义
4总则
4.1指导思想
4.2目标
5安全基线技术要求
5.1操作系统
5.1.1AIX系统安全基线技术要求
5.1.1.1设备管理
5.1.1.2用户账号与口令安全
5.1.1.3日志与审计
5.1.1.4服务优化
5.1.1.5安全防护
5.1.1.6其他
5.1.2Windows系统安全基线技术要求
5.1.2.1补丁管理
5.1.2.2用户账号与口令安全
5.1.2.3日志与审计
5.1.2.4服务优化
5.1.2.5安全防护
5.1.3Linux系统安全基线技术要求
5.1.3.1设备管理
5.1.3.2用户账号与口令安全
5.1.3.3日志与审计
5.1.3.4服务优化
5.1.3.5安全防护
5.1.4HP UNIX系统安全基线技术要求
5.1.4.1设备管理
5.1.4.2用户账号与口令安全
5.1.4.3日志与审计
5.1.4.4服务优化(可选)
5.1.4.5安全防护
5.2数据库
5.2.1Oracle 数据库系统安全基线技术要求
5.2.1.1用户账号与口令安全
5.2.1.2日志与审计
5.2.1.3安全防护
5.2.2MS SQL 数据库系统安全基线技术要求
5.2.2.1用户账号与口令安全
5.2.2.2日志与审计
5.2.2.3安全防护
5.3中间件
5.3.1WEB Logic中间件安全基线技术要求
5.3.1.1设备管理
5.3.1.2用户账号与口令安全
5.3.1.3日志与审计
5.3.1.4安全防护
5.3.1.5其它内容
5.3.2Apache HTTP Server中间件安全基线技术要求
5.3.2.1用户账号与口令安全
5.3.2.2日志与审计
5.3.2.3服务优化
5.3.2.4安全防护
5.3.2.5其它内容
5.3.3Tomcat中间件安全基线技术要求
5.3.3.1用户账号与口令安全
5.3.3.2日志与审计
5.3.3.3安全防护
5.3.4IIS中间件安全基线技术要求
5.3.4.1安全配置
5.3.4.2日志与审计
5.3.4.3其他内容
5.4路由器/交换机
5.4.1Cisco 路由器/交换机安全基线技术要求
5.4.1.1设备管理
5.4.1.2用户账号与口令安全
5.4.1.3日志与审计
5.4.1.4服务优化
5.4.1.5安全防护
5.4.2华为网络设备安全基线技术要求
5.4.2.1设备管理
5.4.2.2用户账号与口令安全
5.4.2.3日志与审计
5.4.2.4服务优化
5.4.2.5安全防护
5.4.3中兴路由器/交换机安全基线技术要求
5.4.3.1设备管理
5.4.3.2用户账号与口令安全
5.4.3.3日志与审计
5.4.3.4服务优化
5.4.3.5安全防护
5.5防火墙
5.5.1Cisco防火墙(Pix ASA FWSM)安全基线技术要求
5.5.1.1设备管理
5.5.1.2用户账号与口令安全
5.5.1.3日志与审计
5.5.1.4服务优化
5.5.2Juniper(NetScreen系列)防火墙安全基线技术要求
5.5.2.1设备管理
5.5.2.2用户账号与口令安全
5.5.2.3日志与审计
5.5.2.4安全防护
5.5.3Nokia(CheckPoint系列)防火墙安全基线技术要求
5.5.3.1设备管理
5.5.3.2用户账号与口令安全
5.5.3.3日志与审计
5.5.3.4安全防护
5.5.4中兴通讯ICT(US系列)防火墙安全基线技术要求
5.5.4.1设备管理
5.5.4.2用户账号与口令安全
5.5.4.3日志与审计
5.5.4.4服务优化
5.5.4.5安全防护
1 范围
本规范适用于中国 XX 电网有限责任公司及所属单位管理信息大区所有信息系统相关主
流支撑平台设备。
2 规范性引用文件
下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适
用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
——中华人民共和国计算机信息系统安全保护条例
——中华人民共和国国家安全法
——中华人民共和国保守国家秘密法
——计算机信息系统国际联网保密管理规定
——中华人民共和国计算机信息网络国际联网管理暂行规定
——ISO27001 标准/ISO27002 指南
——公通字[2007]43 号
——GB/T 21028-2007
——GB/T 20269-2006
——GB/T 22239-2008
——GB/T 22240-2008
信息安全等级保护管理办法
信息安全技术 服务器安全技术要求
信息安全技术 信息系统安全管理要求
信息安全技术 信息系统安全等级保护基本要求
信息安全技术 信息系统安全等级保护定级指南
3 术语和定义
安全基线:指针对 IT 设备的安全特性,选择合适的安全控制措施,定义不同 IT 设备的
最低安全配置要求,则该最低安全配置要求就称为安全基线。
管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,
原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区 I)和非
控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企
业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以
简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
4 总则
4.1 指导思想
围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体
目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范 IT 主流
设备安全基线,建立公司管理信息大区 IT 主流设备安全防护的最低标准,实现公司 IT 主流
设备整体防护的技术措施标准化、规范化、指标化。
4.2 目标
管理信息大区内 IT 主流设备安全配置所应达到的安全基线规范,主要包括针对 AIX 系
统、Windows 系统、Linux 系统、HP UNIX 系统、Oracle 数据库系统、MS SQL 数据库系统,WEB
Logic 中间件、Apache HTTP Server 中间件、Tomcat 中间件、IIS 中间件、Cisco 路由器/
交换机、华为网络设备、Cisco 防火墙、Juniper 防火墙和 Nokia 防火墙等的安全基线设置
规范。通过该规范的实施,提升管理信息大区内的信息安全防护能力。
5 安全基线技术要求
5.1 操作系统
5.1.1 AIX 系统安全基线技术要求
5.1.1.1 设备管理
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远
程管理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装 SSH
OpenSSH 为远程管理高安全性工具,可保护管
理过程中传输数据的安全
安装 TCP Wrapper,配置
配置本机访问控制列表,提高对主机系统访
访问控制
/etc/hosts.allow,/etc/hos
ts.deny
问控制
5.1.1.2 用户账号与口令安全
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认
账号登录
1)
2)
3)
4)
5)
6)
7)
8)
9)
Daemon
Bin
Sys
Adm
Uucp
Nuucp
Lpd
Imnadm
Ldap
10) Lp
11) Snapp
12) invscout
清理多余用户账号,限制系统默认账号登录,
同时,针对需要使用的用户,制订用户列表
进行妥善保存
root 远程登录
禁止
禁止 root 远程登录
基线技术要求
基线标准点(参数)
说明
口令策略
1)
2)
3)
4)
5)
6)
7)
8)
maxrepeats=3
1) 口令中某一字符最多只能重复 3 次
minlen=8
minalpha=4
minother=1
mindiff=4
minage=1
2) 口令最短为 8 个字符
3) 口令中最少包含 4 个字母字符
4) 口令中最少包含一个非字母数字字符
5) 新口令中最少有 4 个字符和旧口令不同
6) 口令最小使用寿命 1 周
maxage=25(可选)
7) 口令的最大寿命 25 周
histsize=10
8) 口令不重复的次数 10 次
FTP 用户账号控制
/etc/ftpusers
禁止 root 用户使用 FTP
5.1.1.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
日志记录
记 录 authlog 、 wtmp.log 、
sulog、failedlogin
日志必须存储在日志服务器
记录必需的日志信息,以便进行审计
日志存储(可选)
日志保存要求
中
2 个月
使用日志服务器接受与存储主机日志
日志必须保存 2 个月
日志系统配置文件保
文件属性 400(管理员账号只
护
读)
修改日志配置文件(syslog.conf)权限为 400
文件属性 400(管理员账号只
修改日志文件 authlog、wtmp.log、sulog、
读)
failedlogin 的权限为 400
日志文件保护
5.1.1.4 服务优化
应提高系统服务安全,优化系统资源。
基线技术要求
基线标准点(参数)
说明
Finger 服务
telnet 服务
ftp 服务(可选)
sendmail 服务(可选)
Time 服务
禁止
禁止
禁止
禁止
禁止
Finger 允许远程查询登陆用户信息
远程访问服务
文件上传服务(需要经过批准才启用)
邮件服务
远程查询登陆用户信息服务
网络测试服务,回显字符串, 为“拒绝服务”
Echo 服务
禁止
攻击提供机会, 除非正在测试网络,否则禁
用
基线技术要求
基线标准点(参数)
说明
Discard 服务
禁止
攻击提供机会, 除非正在测试网络,否则禁
网络测试服务,丢弃输入, 为“拒绝服务”
用
网络测试服务,显示时间, 为“拒绝服务”
Daytime 服务
禁止
攻击提供机会, 除非正在测试网络,否则禁
用
网络测试服务,回应随机字符串, 为“拒绝
Chargen 服务
禁止
服务”攻击提供机会, 除非正在测试网络,
comsat 服务
禁止
身份运行,因此涉及安全性, 很少需要的,禁
否则禁用
comsat 通知接收的电子邮件,以 root 用户
用
Kerberos 登录,如果您的站点使用
klogin 服务(可选)
禁止
Kerberos 认证则启用(需要经过批准才启
用)
Kerberos shell,如果您的站点使用
kshell 服务(可选)
禁止
Kerberos 认证则启用(需要经过批准才启
ntalk 服务
禁止
用)
ntalk 允许用户相互交谈,以 root 用户身份
运行,除非绝对需要,否则禁用
在网上两个用户间建立分区屏幕,不是必需
talk 服务
禁止
服务,与 talk 命令一起使用,在端口 517
tftp 服务
uucp 服务
dtspc 服务(可选)
5.1.1.5 安全防护
禁止
禁止
禁止
提供 UDP 服务
以 root 用户身份运行并且可能危及安全
除非有使用 UUCP 的应用程序,否则禁用
CDE 子过程控制,不用图形管理则禁用
应对系统安全配置参数进行调整,提高系统安全。
基线技术要求
基线标准点(参数)
说明
Umask 权限
022
修改默认文件权限
控制用户登录会话
设置为 600 秒
设置超时时间,控制用户登录会话
5.1.1.6 其他
应对关键文件进行权限调整,提高关键文件的安全。
基线技术要求
基线标准点(参数)
说明
关键文件的安全保护
a)
b)
c)
/etc/passwd
/etc/group
/etc/security 目录
5.1.2 Windows 系统安全基线技术要求
5.1.2.1 补丁管理
设置 passwd、group、security 等关键文件和
目录的权限
应使 Windows 操作系统的补丁达到管理基线。
基线技术要求
基线标准点(参数)
说明
安全服务包
win2003 SP2,win2000 SP4
安装微软最新的安全服务包
安全补丁
更新到最新
补丁更新至最新
5.1.2.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
密码必须符合复杂性
要求(可选)
密码长度最小值
密码最长使用期限(可
选)
密码最短使用期限
强制密码历史
复位帐户锁定计数器
帐户锁定时间
帐户锁定阀值
guest 账号
administrator(可选)
启用
8
密码安全策略
密码安全策略
180 天
密码安全策略
1 天
5 次
3 分钟
5 分钟
5 次无效登录
密码安全策略
密码安全策略
帐户锁定策略
帐户锁定策略
帐户锁定策略
禁止
重命名
禁用 guest 用户使用
加强 administrator 使用
帐号检查与管理
禁用无需使用帐号
禁用无需使用帐号
5.1.2.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
审核帐号登录事件
成功与失败
审核帐号管理
成功与失败
审核目录服务访问
成功
日志审核策略
日志审核策略
日志审核策略
基线技术要求
基线标准点(参数)
说明
审核登录事件
成功与失败
审核对象访问
无审核
审核策略更改
成功与失败
审核特权使用
审核过程跟踪
审核系统事件
应用日志
安全日志
系统日志
无审核
无审核
成功
50-1024M
50-1024M
50-1024M
日志审核策略
日志审核策略
日志审核策略
日志审核策略
日志审核策略
日志审核策略
最大日志容量
最大日志容量
最大日志容量
日志存储(可选)
指定日志服务器
日志存储在日志服务器中
日志保存要求
2 个月
日志必须保存 2 个月
5.1.2.4 服务优化
应提高系统服务安全,优化系统资源。
基线技术要求
基线标准点(参数)
说明
Alerter 服务
Clipbook 服务
Computer Browser
Messenger
Remote Registry Service
Routing and Remote Access
Simple Mail Trasfer
Protocol(SMTP) (可选)
禁止
禁止
禁止
禁止
禁止
禁止
禁止
Simple Network Management
若网管需要可开放该服务,但需修改缺省
Protocol(SNMP) Service (可
禁止
SNMP 团体名和仅对指定管理 IP 开放。
选)
Simple Network Management
Protocol(SNMP) Trap (可选)
Telnet
World Wide Web Publishing
Service (可选)
禁止
禁止
禁止
基线技术要求
基线标准点(参数)
说明
Print Spooler
Automatic Updates
Terminal Service
5.1.2.5 安全防护
禁止
禁止
禁止
应通过对系统配置参数调整,提高系统安全。
基线技术要求
基线标准点(参数)
说明
文件系统格式
桌面屏保
NTFS
3 分钟
指定磁盘 NTFS 文件系统
桌面屏保设置为 3 分钟
防病毒软件
安装防病毒软件
安装防病毒软件
防病毒代码库
及时更新
更新到最新版本
文件共享(可选)
控制
原则上禁止配置文件共享,但因工作需要必须
配置共享,须设置帐户与口令
系统自带防火墙(可
启用
启用
选)
默认共享
禁止 IPC$、ADMIN$、C$、D$等 禁止
网络访问: 不允许匿
启用
安全控制选项优化
名枚取 SAM 帐号与共
享
网络访问: 不允许匿
启用
安全控制选项优化
名枚取 ASM 帐号
交互式登录:不显示上
启用
安全控制选项优化
次的用户名
控制驱动器自动运行 禁止
禁止自动运行
控制在蓝屏后自动启
禁止
禁止蓝屏后自动启动机器
动机器
5.1.3 Linux 系统安全基线技术要求
5.1.3.1 设备管理
应配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管
理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装 SSH
程中传输数据的安全,linux 当前版本都已默认安
OpenSSH 为远程管理高安全性工具,可保护管理过
装
访问控制
配置/etc/hosts.allow、
/etc/hosts.deny
配置本机访问控制列表,提高主机系统安全访问
5.1.3.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认
帐号登录
a)
b)
c)
d)
e)
f)
g)
Daemon
Bin
Sys
Adm
Uucp
Lp
nobody
清理多余用户帐号,限制系统默认帐号登录,同
时,针对需要使用的用户,制订用户列表进行妥
善保存
root 远程登录
禁止
禁止 root 远程登录
口令策略
a)
PASS_MAX_DAYS 180
(可选)
b)
c)
d)
PASS_MIN_DAYS 1
PASS_WARN_AGE 28
PASS_MIN_LEN 8
a) 密码使用最长期限为 180 天
b) 密码 1 天之内不能更改
c) 密码过期之前 28 天提示修改
d) 密码长度最小 8 位字符
控制用户登录会话
设置为 600 秒
设置超时时间,控制用户登录会话
FTP 用户帐号控制
/etc/ftpusers
禁止 root 用户使用 FTP
5.1.3.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
捕获 authpriv 消息
authpriv 日志
记录有关安全方面日志消息(如网络设备启动、
usermod、change 等)
日志存储(可选)
指定日志服务器
使用日志服务器接受与存储主机日志
日志保存要求
2 个月
日志必须保存 2 个月
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
